网络安全PPT课件(共16章)CH13入侵检测与入侵防御

网络安全CH13入侵检测与入侵防御入侵检测与入侵防御12目录（Contents）入侵检测的基本概念001入侵检测流程010入侵检测技术和分类011蜜罐100入侵防御系统101入侵检测系统(Intrusion Detection Syetem，IDS)，是一种能对潜在的入侵行为作出记录和预测的智能化、自动化的软件或硬件系统作为一种主动防御技术，是传统计算机安全机制的重要补充主要通过监控网络、系统的状态、行为以及系统的使用情况，来检测系统用户的越权使用以及系统外部的入侵者利用系统的安全缺陷对系统进行入侵的企图 3入侵检测系统概述IETF将入侵检测系统分为四个组件：事件产生器（Event generators）：从整个计算环境中获得事件，并向系统的其他 部分提供此事件事件分析器（Event analyzers）：完成数据的解析，给出怀疑值或作出判断响应单元（Response Units）：作出决策和响应，它可以切断连接、改变文件属性等，也可以是简单的报警事件数据库（Event databases）：存放各种中间和最终数据的区域为更好地完成入侵检测功能，一般还有数据预处理模块、通信模块等4入侵检测系统概述系统或网络的日志文件网络流量系统目录和文件的异常变化程序执行中的异常行为5信息采集的来源 模式匹配：将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为统计分析：首先给系统对象（如用户、文件等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）测量属性的平均值和偏差将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生v完整性分析：往往用于事后分析n主要关注某个文件或对象是否被更改6信息分析误报(false positive)：如果系统错误地将异常活动定义为入侵漏报(false negative)：如果系统未能检测出真正的入侵行为7入侵检测性能关键参数按照分析方法（检测方法）：异常检测模型（Anomaly Detection)：首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵误用检测模型（Misuse Detection)：收集非正常操作的行为特征，建立相关特征库，当监测的用户或系统行为与库中记录匹配时，就认为是入侵。也称特征检测（Signature Detection）、模式发现8入侵检测的分类根据数据来源，入侵检测系统常被分为基于主机(Host-Based)的入侵检测系统，HIDS系统获取数据的依据是系统运行所在的主机，保护的目标也是系统运行所在的主机一般读取主机的日志文件并发出警告基于网络(Network-Based)的入侵检测系统，NIDS系统获取的数据是网络传输的数据包，保护的是网络的运行将网卡设置为混杂模式，并在攻击穿越网络时对其进行监听混合型9入侵检测的分类基于主机的入侵检测系统：数据源来自主机，如日志文件、审计记录等。检测范围较小，只限于一台主机内不但可以检测远程入侵，还可以检测本地入侵由于主机信息多种多样，不同的操作系统，信息源的格式就不同，使得基于主机的入侵检测系统实现较为困难10基于主机的入侵检测系统11基于主机的入侵检测系统的结构检测原理：根据主机审计的数据和系统日志发现可疑事件，检测系统可以运行在被检测的主机或单独的主机上监视特定的系统活动监视用户和文件访问活动，包括文件访问、改变文件权限、试图建立新的可执行文件、关键的系统文件和可执行文件的更改、试图访问特许服务监督所有用户登录及退出登录的情况，以及每位用户在连接到网络以后的行为能够检测到针对主机系统的攻击可以检测到NIDS检测不到的攻击。例如，对服务器的键盘攻击不经过网络，所以可以躲开NIDS，然而却会被HIDS发现并拦截12基于主机的入侵检测系统的特点：适用于交换及加密环境交换设备可将大型网络分成许多的小型网段加以管理。从覆盖足够大的网络范围的角度，很难确定配置基于网络的IDS的最佳位置。基于主机的IDS可安装在所需要的重要主机上，具有更高的能见度某些加密方式也对基于网络的入侵检测提出挑战。根据加密方式在协议堆栈中的位置的不同，基于网络的IDS可能对某些攻击没有反应，而基于主机的IDS没有该限制不要求额外的硬件基于主机的IDS存在于现有的网络结构之中，包括文件服务器、Web服务器及其他共享资源，不需要另外安装登记、维护及管理额外的硬件设备，成本较低13基于主机的入侵检测系统的特点：基于主机的IDS依赖于审计数据或系统日志准确性和完整性以及安全事件的定义若入侵者设法逃避审计或进行合作入侵，则基于主机检测系统就暴露出其弱点特别是在现在的网络环境下，单独地依靠主机审计信息进行入侵检测难以适应网络安全的需求14基于主机的入侵检测系统主要表现在以下方面：主机审计信息的弱点。审计信息易受攻击，入侵者可通过使用某些系统特权或调用比审计本身更低的操作来逃避审计不能通过分析主机审计记录来检测网络攻击（域名欺骗、端口扫描等）影响服务器的性能只能对服务器的特定用户、应用程序执行动作、日志进行检测，所能检测的攻击类型受到限制15基于主机的入侵检测系统的缺点基于网络入侵检测系统通过实时监视并分析网络的所有通信业务检测入侵数据源是网络流量，检测范围是整个网络，能检测出远程入侵，看不到本地入侵由于网络数据比较规范（TCP/IP协议的数据包），所以基于网络的入侵检测系统比较易于实现 16基于网络的入侵检测系统17基于网络的入侵检测系统结构探测器：由过滤器、网络接口引擎器以及过滤规则决策器组成功能：按一定规则从网络获取与安全事件相关的数据包，传递至分析引擎器分析引擎器：将接收到的包结合网络安全数据库进行分析；将分析结果传递给配置构造器用来分析网络数据中的异常现象或可疑迹象，并提取出异常标志。分析引擎器的分析和判断决定了具有什么样特征的网络数据流是非正常的网络行为安全配置构造器：根据分析引擎器结果构造出探测所需的配置规则18基于网络的入侵检测系统结构分析引擎器常使用4种技术来识别攻击标志模式、表达式或字节匹配频率或穿越阀值次要事件的相关性统计学意义上的非常规现象检测19基于网络的入侵检测系统实施成本较低全面而准确的识别攻击特征 攻击者不易转移证据 实时检测和响应 检测未被成功的攻击和不良的意图 操作系统无关性 20基于网络的入侵检测系统的特器独立性：监视通信流量而不影响服务器平台的变化和更新配置简单：只需要一个普通的网络访问接口即可众多的攻击标识：探测器可以监视多种多样的协议攻击和特定环境的攻击21基于网络的入侵检测系统的特性弹出窗口报警E-mail通知切断TCP连接执行自定义程序与其他安全产品交互FirewallSNMP Trap22IDS的响应策略Host C Host D Host B Host A 受保护网络InternetIDS黑客发起攻击发送通知报文验证报文并采取措施发送响应报文识别出攻击行为阻断连接或者报警等防火墙防火墙当IDS发现入侵行为时，可以提取入侵的行为特征，从而编制安全规则并分发给防火墙，与防火墙联动阻断攻击行为的再次发生23IDS与防火墙的安全联动Snort：免费、开源的基于网络的入侵检测系统，具有很好的配置性和可移植性最初是设计给小网络段使用的，常被称为轻量级的入侵检测系统可用于Unix/Linux平台，也有适用于Windows操作系统的版本，并且已经有了方便的图形用户界面扩展性很好：基于规则的体系结构使Snort非常灵活，设计者使其很容易插入和扩充新的规则就能对抗那些新出现的威胁24典型入侵检测产品介绍Snort具有实时数据流量分析和日志IP网络数据包的能力，能截获网络中的数据包并记录数据包日志日志格式既可以是Tcpdump式的二进制格式，也可以解码成ASCII字符形式，还可以通过数据库输出插件记入数据库能够对多种协议进行解析，对内容进行搜索和匹配。能够检测多种方式的攻击和探测报警机制很丰富。利用XML插件，Snort可以使用SNML（Simple Network Markup Language，简单网络标记语言），把日志存放到一个文件或者适时报警25典型入侵检测产品介绍SnortOSSEC-HIDS：开源的基于主机的入侵检测系统可运行于Windows,Linux,OpenBSD/FreeBSD,以及 MacOS等操作系统中主要功能：日志分析、完整性检查、rootkit检测、基于时间的警报和主动响应26典型入侵检测产品介绍OSSECInternet Security System公司的RealSecure是一种实时监控软件，包含控制台、网络引擎和系统代理三部分组成网络引擎：基于C类网段，安装在一台单独使用的计算机上，通过捕捉网段上的数据包，分析包头和数据段内容，与模板中定义的事件进行匹配，发现攻击后采取相应的安全动作系统代理：基于主机，安装在受保护的主机上，通过捕捉访问主机的数据包，分析包头和数据段内容，与模板中定义的事件进行匹配，发现攻击后采取相应的安全动作控制台：安全管理员的管理界面，可同时与多个网络引擎和系统代理连接，实时获取安全信息27典型入侵检测产品介绍ISS RealSecureWatcher是典型的网络入侵检测工具，能检测所有通过网络的信息包，并且将它们当成恶意攻击行为记录在sys log中，网络管理员根据日志可以分析判断系统是否正在遭受到恶意攻击；完全免费，安装简单可检测端口扫描行为和一些拒绝服务攻击行为：TCP端口扫描UDP端口扫描Syn flood攻击Teardrop攻击Land攻击Smurf击Ping of death攻击28典型入侵检测产品介绍 Watcher入侵防御技术(Intrusion Prevention System,IPS)将防火墙与入侵检测技术融合在一起，吸取二者的优点，弥补二者的不足，是一种实时的主动的技术入侵防御系统可分为：基于主机的入侵防御系统(Host-based Intrusion Prevention system，HIPS)基于网络的入侵防御系统(Network-based Intrusion Prevention System，NIPS)应用入侵防御系统(Applieation Intrusion Prevention System，AIPS)29入侵防御系统IDS检测的基本原理IDS的分类：基于主机的IDS 基于网络的IDS思考：入侵检测与防火墙的区别？30Summary感谢聆听感谢聆听31